検出

GLSA-201402-24:GnuPG、Libgcrypt:複数の脆弱性

medium Nessus プラグイン ID 72638

Language:

概要

リモートの Gentoo ホストでは、セキュリティに関連するパッチが少なくとも 1 つ不足しています。

説明

リモートホストは、GLSA-201402-24 で説明されている脆弱性の影響を受けます(GnuPG、Libgcrypt:複数の脆弱性)

GnuPG および Libgcrypt で複数の脆弱性が発見されました。
 詳細については、以下で参照されている CVE 識別子をレビューしてください。
 影響:

認証されていないリモートの攻撃者が、GnuPG を実行しているユーザーの権限で任意のコードを実行し、サービス拒否状態を引き起こしたり、セキュリティの制限をバイパスしたりする可能性があります。さらに、サイドチャネル攻撃により、ローカルの攻撃者が、秘密鍵を復元できることがあります。詳細については、参照セクションで「Flush+Reload:高解像度、低ノイズ、L3 キャッシュサイドチャネル攻撃」を参照してください。
 回避策:

現時点で、既知の回避策はありません。

ソリューション

GnuPG 2.0 の全ユーザーは、最新バージョンにアップグレードする必要があります:
 # emerge --sync # emerge --ask --oneshot --verbose '>=app-crypt/gnupg-2.0.22' GnuPG 1.4 の全ユーザーは、最新バージョンにアップグレードする必要があります:
 # emerge --sync # emerge --ask --oneshot --verbose '>=app-crypt/gnupg-1.4.16' Libgcrypt の全ユーザーは、最新バージョンにアップグレードする必要があります:
 # emerge --sync # emerge --ask --oneshot --verbose '>=dev-libs/libgcrypt-1.5.3'

参考資料

https://eprint.iacr.org/2013/448

https://security.gentoo.org/glsa/201402-24

プラグインの詳細

深刻度: Medium

ID: 72638

ファイル名: gentoo_GLSA-201402-24.nasl

バージョン: 1.11

タイプ: local

公開日: 2014/2/23

更新日: 2021/1/6

サポートされているセンサー: Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.0

CVSS v2

リスクファクター: Medium

基本値: 5.8

現状値: 4.3

ベクトル: CVSS2#AV:N/AC:M/Au:N/C:N/I:P/A:P

脆弱性情報

CPE: p-cpe:/a:gentoo:linux:gnupg, p-cpe:/a:gentoo:linux:libgcrypt, cpe:/o:gentoo:linux

必要な KB アイテム: Host/local_checks_enabled, Host/Gentoo/release, Host/Gentoo/qpkg-list

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2014/2/21

参照情報

CVE: CVE-2012-6085, CVE-2013-4242, CVE-2013-4351, CVE-2013-4402

BID: 57102, 61464, 62857, 62921

GLSA: 201402-24